Alerta phishing: en Argentina se está propagando un malware que roba datos bancarios y tokens de autenticación a través de WhatsApp Web

En los últimos días el gobierno de la Ciudad de Buenos Aires hizo circular una alerta sobre la propagación de un nuevo malware –llamado SORVEPOTEL o Water Saci– que tiene la misión de robar credenciales bancarias y de criptomonedas. Y lo hace a través de algo tan diario que podrías no sospechar: se extiende a través de WhatsApp Web.

Target del virus. Aunque el principal perfil de los objetivos son personas que trabajan en el sector financiero/empresarial, las víctimas son bastante más amplias, ya que se registraron afectados en áreas como el gobierno y servicios públicos, manufactura, tecnología, educación y construcción.

Cómo te afecta el virus. Su fin es robar datos bancarios, tokens de autenticación y de criptomonedas, tomar el control de tu navegador y reenviar el archivo infectado a todos tus contactos de WhatsApp Web, sin que lo notes. Esto es lo que se conoce como phising, que se basa en suplantar la identidad de los usuarios para completar su cometido: usa la confianza entre contactos para distribuir archivos maliciosos. Para que ese archivo infectado te llegue, tu contacto también debió verse expuesto a él, ya que se transmite en cadena.

También se registró su propagación a través de herramientas de Desktop como Selenium y ChromeDriver, y hasta correo electrónico.

En Xataka Argentina

Argentina está entre los 10 países con más robo de contraseñas: cuáles son las causas y cómo generar una clave segura

Cómo funciona el malware SORVEPOTEL

1. Recibís un mensaje de uno de tus contactos con un archivo comprimido (.ZIP) que contiene un acceso directo (.LNK) disfrazado de documento. Este documento puede ser un supuesto presupuesto, una factura, informes de salud o algo por el estilo.
2. Si lo abrís, se ejecutan comandos ocultos en PowerShell que descargan otro archivo (.BAT) y lo colocan en la carpeta de inicio para que el malware se mantenga activo.
3. Ese archivo instala un troyano que roba tus datos mediante técnicas como superposición de ventanas y captura de pantalla.
4. Se propaga rápidamente usando tu cuenta de WhatsApp para comprometer a tus contactos.

X Sec, una comunidad de ciberseguridad, compartió algunos detalles de cómo se instala el virus en tu PC. Por ejemplo, aclaró que el mensaje está escrito en portugués, ya que el objetivo geográfico tiene sus raíces en Brasil, aunque se ha extendido a instituciones financieras de toda América Latina y ya ha llegado a la Argentina. Entonces, el mensaje dice "baixa o zip no PC e abre" (descargá el ZIP en la PC y abrilo).

Una vez que lo abrís, tu sistema se infecta y el virus empieza a propagarse. Está diseñado principalmente para detectar sesiones abiertas de WhatsApp Web en el equipo comprometido. Si la encuentra, la secuestra y así es como se distribuye a todos tus contactos y grupos, provocando, a su vez, que te suspendan o bloqueen la cuenta debido al spam que, en realidad, vos no iniciaste.

¿Qué hacer para prevenir la infección de tus dispositivos?

Para protegerte, el Gobierno de la Ciudad señala algunas recomendaciones a tener en cuenta:

• No abras ni ejecutes archivos ZIP o accesos directos que te llegue por WhatsApp, no importa de quién provenga.  
• Desactivá la descarga automática de archivos en WhatsApp Web y otras herramientas Desktop.

En el caso de que sospeches que tu equipo está afectado:

• Ejecutá un análisis de antivirus actualizado.  
• Cambiá las contraseñas de todas tus cuentas bancarias o de criptomonedas.  
• Mantenete alerta frente a cualquier movimiento extraño que pueda haber en tus cuentas.